Automatische registratie en verlenging van certificaten configureren via CAPF Online CA

Downloadopties

  • PDF     (1.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.7 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 juni 2023
Document-id:214501

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de automatische registratie en verlenging van certificaten beschreven via de online functie Certificate Authority Proxy Function (CAPF) voor Cisco Unified Communications Manager (CUCM).

    Bijgedragen door Michael Mendoza, Cisco TAC Engineer.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Unified Communications Manager
    • X.509-certificaten
    • Windows Server
    • Windows Active Directory (AD)
    • Windows Internet Information Services (IIS)
    • NT (New Technology) LAN Manager (NTLM)-verificatie

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • CUCM-versie 12.5.1.10000-22
    • Windows Server 2012 R2
    • IP Phone CP-8865 / Firmware: SIP 12-1-1SR1-4 en 12-5-1SR2.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

     Dit document behandelt de configuratie van de functie en de bijbehorende bronnen voor aanvullend onderzoek.

    De tijd en datum van de server valideren

    Zorg ervoor dat de Windows-server de juiste datum, tijd en tijdzone heeft geconfigureerd, omdat dit van invloed is op de geldigheidstijden voor het CA-certificaat (Certificate Authority) van de hoofdmap van de server en de certificaten die door de server zijn uitgegeven.

    Computernaam van server bijwerken

    Standaard heeft de computernaam van de server een willekeurige naam, zoals WIN-730K65R6BSK. Het eerste wat u moet doen voordat u AD Domain Services inschakelt, is ervoor zorgen dat de computernaam van de server wordt bijgewerkt naar wat u wilt dat de hostnaam van de server en de naam van de CA-hoofduitgever van de server zijn aan het einde van de installatie; anders zijn er veel extra stappen nodig om dit te wijzigen nadat AD-services zijn geïnstalleerd.

    • Navigeer naar Lokale server, selecteer de naam van de computer om de systeemeigenschappen te openen
    • Selecteer de knop Wijzigen en typ de nieuwe computernaam:

    1_rename_server

    • Start de server opnieuw op om de wijzigingen toe te passen

    Configureren

    AD-services, gebruikers- en certificaatsjabloon

    Active Directory-services inschakelen en configureren

    • Selecteer in Serverbeheer de optie Rollen en functies toevoegen, selecteer Installatie op basis van rollen of functies en kies de server uit de pool (er moet er maar één in de pool zijn) en vervolgens Active Directory Domain Services:

    2_ad_ds_enable

    • Ga door met het selecteren van de knop Volgende en vervolgens Installeren
    • Selecteer de knop Sluiten nadat de installatie is voltooid
    • Onder Serverbeheer > AD DS verschijnt een waarschuwingstabblad met de titel Configuratie vereist voor Active Directory Domain Services. Selecteer meer koppeling en vervolgens beschikbare actie om de installatiewizard te starten:

    3_ad_ds_install_1

    • Volg de aanwijzingen in de wizard Domeininstellingen, voeg een nieuw forest toe met de gewenste hoofddomeinnaam (gebruikt michamen.com voor dit lab) en schakel het selectievakje DNS uit wanneer dit beschikbaar is, definieer het DSRM-wachtwoord (gebruikt C1sc0123! voor dit lab):

    4_ad_ds_install_2

    5a_ad_ds_install_3

    • Moet een NetBIOS-domeinnaam opgeven (gebruikt in MICHAMEN1 in dit lab).
    • Volg de wizard tot het einde. De server wordt vervolgens opnieuw opgestart om de installatie te voltooien.
    • Vervolgens moet u de nieuwe domeinnaam opgeven wanneer u zich de volgende keer aanmeldt. Bijvoorbeeld MICHAMEN1\Administrator.

    5b_ad_ds_install_4

    Certificaatservices inschakelen en configureren

    • Selecteer in Serverbeheer Rollen en functies toevoegen
    • Selecteer Active Directory Certificate Services en volg de aanwijzingen om de vereiste functies toe te voegen (alle beschikbare functies zijn geselecteerd uit de rolservices die voor dit lab zijn ingeschakeld)
    • Controleer voor rolservices de webinschrijving van de certificeringsinstantie

    enable_cs_1

    enable_cs_2

    • Onder Serverbeheer >AD DS moet een waarschuwingstabblad worden weergegeven met de titel Configuratie vereist voor Active Directory Certificate Services. Selecteer de meer koppeling en vervolgens de beschikbare actie:

    enable_cs_3

    • Navigeer in de wizard AD-CS Post Install Configuration door de volgende stappen: 
    • Selecteer de webinschrijvingsrollen van de certificeringsinstantie en certificeringsinstantie
    • Kies Enterprise CA met opties:
    • Root CA
    • Een nieuwe privésleutel maken
    • Private Key gebruiken – SHA1 met standaardinstellingen
    • Stel een gemeenschappelijke naam in voor de CA (moet overeenkomen met de hostnaam van de server):

    enable_cs_4

    • Geldigheid instellen voor 5 jaar (of meer indien gewenst)
    • Selecteer de knop Volgende via de rest van de wizard

    Creatie van certificaatsjabloon voor CiscoRA

    • Open MMC. Selecteer het startlogo van Windows en typ mmc uit Uitvoeren
    • Open een MMC-venster en voeg de volgende snap-ins toe (Gebruikt op verschillende punten van de configuratie) en selecteer OK:

    6_template_1

    6_template_2

    • Selecteer Bestand > Opslaan en sla deze consolesessie op het bureaublad op zodat u deze snel opnieuw kunt openen
    • Selecteer Certificaatsjablonen in de module Inzoomen
    • Maak of kloon een sjabloon (bij voorkeur de sjabloon "Root Certification Authority" indien beschikbaar) en noem deze CiscoRA

    6_template_3

    • Wijzig de template. Klik er met de rechtermuisknop op en selecteer Eigenschappen
    • Selecteer het tabblad Algemeen en stel de geldigheidsperiode in op 20 jaar (of een andere waarde indien gewenst). Zorg ervoor dat op dit tabblad de waarden "weergavenaam" en "naam" van de sjabloon overeenkomen

    6_template_8

    • Selecteer het tabblad Extensies, selecteer Toepassingsbeleid en selecteer Bewerken

    6_template_4

    • Verwijder alle beleidsregels die worden weergegeven in het venster dat wordt weergegeven
    • Selecteer het tabblad Onderwerpnaam en selecteer het keuzerondje Levering in aanvraag
    • Selecteer het tabblad Beveiliging en geef alle rechten voor alle groepen/gebruikersnamen die worden weergegeven

    6_template_5

    Maak de certificaatsjabloon beschikbaar voor uitgifte

    • Selecteer in de MMC-module Certificeringsinstantie en vouw de mappenstructuur uit om de map Certificaatsjablonen te vinden
    • Klik met de rechtermuisknop in de witte ruimte in het kader dat Naam en Doel bevat
    • Selecteer nieuw en uit te geven certificaatsjabloon
    • Selecteer de nieuw gemaakte en bewerkte CiscoRA-sjabloon

    6_template_6

    Active Directory CiscoRA-account maken

    • Navigeer naar MMC-invoegtoepassingen en selecteer Active Directory-gebruikers en -computers
    • Selecteer de map Gebruikers in de structuur in het meest linkse deelvenster
    • Klik met de rechtermuisknop in de witte ruimte in het kader dat Naam, Type en Beschrijving bevat
    • Selecteer Nieuw en Gebruiker
    • Maak de CiscoRA-account met gebruikersnaam/wachtwoord (ciscora/Cisco123 werd gebruikt voor dit lab) en selecteer het selectievakje Wachtwoord vervalt nooit wanneer het wordt weergegeven

    6_template_7

    IIS-verificatie en SSL-bindingsconfiguratie

    NTLM inschakelen Verificatie

    • Navigeer naar MMC-invoegtoepassingen en selecteer de naam van uw server onder de module Internet Information Services (IIS) Manager
    • De lijst met functies wordt in het volgende frame weergegeven. Dubbelklik op het pictogram van de verificatiefunctie

    web_auth_1

    • Markeer Windows-verificatie en selecteer de optie Inschakelen in het kader Handelingen (rechterdeelvenster)

    web_auth_2

    • Het deelvenster Handelingen geeft de optie Geavanceerde instellingen weer; selecteer deze en schakel de optie Verificatie kernelmodus inschakelen uit

    web_auth_3

    • Selecteer Providers en zet NTML op volgorde en Onderhandel.

    web_auth_4

    Het identiteitscertificaat voor de webserver genereren

    Als dit nog niet het geval is, moet u een certificaat en een identiteitscertificaat voor uw webservice genereren dat is ondertekend door de CA, omdat CiscoRA er geen verbinding mee kan maken als het certificaat van de webserver zelfondertekend is:

    • Selecteer uw webserver in de module IIS en dubbelklik op het pictogram van de functie Servercertificaten:

    gen_cert_1

    • Standaard kunt u één certificaat zien dat daar wordt vermeld; dat is het zelf ondertekende root-CA-cert; vanuit het menu Acties selecteert u de optie Domeincertificaat maken. Voer de waarden in de configuratiewizard in om uw nieuwe certificaat te maken. Controleer of de algemene naam een oplosbare FQDN (Fully Qualified Domain Name) is en selecteer Volgende:

    gen_cert_2

    • Selecteer het certificaat van uw root-CA als uitgever en selecteer Voltooien:

    gen_cert_3

    • U kunt beide zien, het CA-certificaat en het identiteitscertificaat van uw webserver:

    gen_cert_4

    Webserver SSL-binding

    • Selecteer een site in de structuurweergave (u kunt de standaardwebsite gebruiken of deze gedetailleerder maken voor specifieke sites) en selecteer Bindingen in het deelvenster Handelingen. Dit brengt de bindingen-editor naar voren waarmee u bindingen voor uw website kunt maken, bewerken en verwijderen. Selecteer Toevoegen om uw nieuwe SSL-binding aan de site toe te voegen.

    ssl_1

    • De standaardinstellingen voor een nieuwe binding zijn ingesteld op HTTP op poort 80. Selecteer https in de vervolgkeuzelijst Type. Selecteer het zelfondertekende certificaat dat u in de vorige sectie hebt gemaakt in de vervolgkeuzelijst SSL-certificaat en selecteer OK.

    ssl_2

    • Nu hebt u een nieuwe SSL-binding op uw site en het enige dat overblijft, is om te controleren of deze werkt door de optie Bladeren *:443 (https) in het menu te selecteren en ervoor te zorgen dat de standaard IIS-webpagina HTTPS gebruikt:

    ssl_3

    ssl_4

    • Vergeet niet om de IIS-service opnieuw te starten na configuratiewijzigingen. Gebruik de optie Opnieuw starten in het deelvenster Handelingen.

    CUCM-configuratie

    cm_config_1

    • Navigeer naar Beveiliging > Certificaatbeheer vanaf de pagina Besturingssysteem en selecteer de knop Certificaat/certificaatketen uploaden om het CA-certificaat te uploaden met het doel ingesteld op CAPF-trust.

    cm_config_2

    ... Op dit punt is het ook een goed idee om hetzelfde CA-certificaat als CallManager-trust te uploaden omdat het nodig is als beveiligde signaalcodering is ingeschakeld (of zal worden ingeschakeld) voor de eindpunten; wat waarschijnlijk is als het cluster zich in de gemengde modus bevindt.

    • Ga naar Systeem > Serviceparameters. Selecteer de Unified CM Publisher-server in het serverveld en de Cisco Certificate Authority-proxyfunctie in het veld Service
    • Stel de waarde van Certificaatverlener in op Eindpunt voor Online CA en voer de waarden in voor de velden Online CA-parameters. Zorg ervoor dat u de FQDN van de webserver gebruikt, de naam van de certificaatsjabloon die eerder is gemaakt (CiscoRA), het CA-type als Microsoft CA en gebruik de referenties van de eerder gemaakte CiscoRA-gebruikersaccount

    cm_config_3

    • Een pop-upvenster geeft aan dat de CAPF-service opnieuw moet worden gestart. Maar activeer eerst de Cisco Certificate Enrollment Service via Cisco Unified Serviceability > Tools > Service Activation, selecteer de uitgever in het veld Server en vink het selectievakje Cisco Certificate Enrollment Service aan en selecteer vervolgens de knop Opslaan:

    cm_config_4

    Verifiëren

    IIS-certificaten verifiëren

    • Navigeer vanuit een webbrowser op een pc met connectiviteit met de server (bij voorkeur in hetzelfde netwerk als de CUCM Publisher) naar URL:

    https://YOUR_SERVER_FQDN/certsrv/

    • Waarschuwing voor certificaat niet-vertrouwd wordt weergegeven. Voeg de uitzondering toe en controleer het certificaat. Zorg ervoor dat het overeenkomt met de verwachte FQDN:

    verify_1

    • Nadat u de uitzondering hebt geaccepteerd, moet u zich authenticeren; op dit punt moet u de referenties gebruiken die eerder voor de CiscoRA-account zijn geconfigureerd:

    verify_2

    • Na verificatie moet u de welkomstpagina van AD CS (Active Directory Certificate Services) kunnen zien:

    verify_3

    CUCM-configuratie controleren

    Voer de stappen uit die u normaal gesproken volgt om een LSC-certificaat op een van de telefoons te installeren.

    Stap 1. Open de beheerpagina van CallManager, Apparaat en vervolgens Telefoon

    Stap 2. Selecteer de knop Zoeken om de telefoons weer te geven

    Stap 3. Selecteer de telefoon waarop u de LSC wilt installeren

    Stap 4. Scroll omlaag naar de informatie over de proxy-functie van de certificeringsinstantie (CAPF)

    Stap 5. Selecteer de optie Installeren/upgraden in de certificaatbewerking.

    Stap 6. Selecteer de verificatiemodus. (Met Null String is prima voor testdoeleinden)

    Stap 7. Blader naar de bovenkant van de pagina en selecteer Opslaan en Config toepassen voor de telefoon.

    Stap 8. Nadat de telefoon opnieuw is opgestart en opnieuw is geregistreerd, gebruikt u het LSC-statusfilter om te bevestigen dat de LSC met succes is geïnstalleerd.

    • Open MMC vanaf de AD-server en vouw de module Certificeringsinstantie uit om de map Certificaten uitgegeven te selecteren
    • Het item voor de telefoon wordt weergegeven in de overzichtsweergave, dit zijn enkele van de weergegeven details:
      • Aanvraag-ID: uniek volgnummer
      • Naam aanvrager: de gebruikersnaam van de geconfigureerde CiscoRA-account moet worden weergegeven
      • Certificaatsjabloon: de naam van de CiscoRA-sjabloon die is gemaakt, moet worden weergegeven
      • Uitgegeven algemene naam: het model van de telefoon dat is toegevoegd met de apparaatnaam moet worden weergegeven
      • Effectieve datum van het certificaat en vervaldatum van het certificaat

    cert_issue_1

    Verwante links

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    08-Jun-2023
    Bevestigd met BU dat kerbeos niet wordt ondersteund, dus het verwijderen van elke configuratie voorgesteld met betrekking tot het.
    1.0
    05-Jun-2019
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Michael Mendoza
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten